6-й каспер ругается на внедрение процесса

[serggd]

Установил 6-го каспера, проверил систему. Нашлось несколько троянов, каспер их потер. Теперь периодически каспер ругается на внедрение iexplore.exe в explorer.exe. Скрин этого дела есть. Че делать? Вот логи:

[Bratez]

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('c:\windows\system32\cnab4rpk.exe','');
RebootWindows(true);
end.

После перезагрузки пришлите карантин по правилам.

[PavelA]

Когда делал лог HijackThis, IE был запущен?
Если нет, то надо будет повторить.

Плюс поискать в AVZ IEXPLORE.EXE, именно так как написано.
Какой-то странный IE засветился в логах АВЗ.

Что вот это такое знаете C:\PCQ 56\IExplorerMime.dll. Если не знаете, то в карантин и прислать.

Касперский 6 хорошо, но SP2 ставить надо. Иначе будете частым гостем на этом форуме.

[Bratez]

В дополнение к сообщению PavelA:
При создании логов в карантин был помещен файл
C:\WINDOWS\help\45AD9FCA.dll
но его в присланном архиве нет. Надо найти и прислать.

cnab4rpk.exe по результатам проверки на VirusTotal чист.

[serggd]

C:\WINDOWS\help\45AD9FCA.dll лежит здесь:

Файл сохранён как 070405_153331_virus in help_4614de8b33fd0.zip
Размер файла 67197
MD5 879a7d23dd142cd30f5f28a2046ac1a3

[serggd]

C:\PCQ 56\IExplorerMime.dll - такого файла на диске нет. Как удалить все данные о нем в реестре?

[serggd]

Как прикрепить лог hijack в сообщение? объясните нубу плз.

[PavelA]

1.Сделай лог HijackThis с запущенным IE.

2. Включить в AVZ AVZPM. Перезагрузиться. В AVZ запустить станд. скрипт №3
Логи прислать сюда.

3.C:\WINDOWS\help\45AD9FCA.dll - протокол с вирустотал.

AhnLab-V3 2007.4.5.0 04.05.2007 no virus found
AntiVir 7.3.1.48 04.05.2007 TR/Crypt.NSPM.Gen
Authentium 4.93.8 04.04.2007 Possibly a new variant of W32/PWStealer.gen1
Avast 4.7.936.0 04.05.2007 Win32:Tibs-ADO
AVG 7.5.0.447 04.04.2007 no virus found
BitDefender 7.2 04.05.2007 no virus found
CAT-QuickHeal 9.00 04.04.2007 no virus found
ClamAV devel-20070312 04.05.2007 no virus found
DrWeb 4.33 04.05.2007 no virus found
eSafe 7.0.15.0 04.04.2007 suspicious Trojan/Worm
eTrust-Vet 30.7.3544 04.05.2007 Win32/NSAnti
Ewido 4.0 04.04.2007 no virus found
FileAdvisor 1 04.05.2007 no virus found
Fortinet 2.85.0.0 04.05.2007 PossibleThreat
F-Prot 4.3.1.45 04.04.2007 W32/PWStealer.gen1
F-Secure 6.70.13030.0 04.05.2007 no virus found
Ikarus T3.1.1.3 04.05.2007 MalwareScope.Worm.Viking.3
Kaspersky 4.0.2.24 04.05.2007 no virus found
McAfee 5001 04.04.2007 no virus found
Microsoft 1.2405 04.05.2007 no virus found
NOD32v2 2169 04.05.2007 no virus found
Norman 5.80.02 04.05.2007 no virus found
Panda 9.0.0.4 04.05.2007 Trj/QQPass.XB
Prevx1 V2 04.05.2007 no virus found
Sophos 4.16.0 03.30.2007 no virus found
Sunbelt 2.2.907.0 04.03.2007 no virus found
Symantec 10 04.05.2007 no virus found
TheHacker 6.1.6.085 04.04.2007 no virus found
VBA32 3.11.3 04.04.2007 Trojan-PSW.Win32.Nilage.ara
VirusBuster 4.3.7:9 04.04.2007 no virus found
Webwasher-Gateway 6.0.1 04.05.2007 Trojan.Crypt.NSPM.Gen

в AVZ выполнить скрипт:

Код:

begin
SetAVZGuardStatus(True);
 DeleteFile('C:\WINDOWS\help\45AD9FCA.dll');
 DeleteFile('C:\PCQ 56\IExplorerMime.dll');
ExecuteSysClean;
RebootWindows(true);
end.

[PavelA]

Логи приклепляются точно также как делали в 1-ом сообщении. Подсказка: Отвечать через кнопочку "Ответить"

[serggd]

Логи:

[Bratez]

Логи делали до последнего скрипта или после?

[serggd]

Логи сделаны до скрипта.

[Bratez]

Логи сделаны до скрипта.

Тогда сделайте их еще раз - надо убедиться, что скрипт сработал.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 2
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\windows\\help\\45ad9fca.dll - Trojan-PSW.Win32.OnLineGames.na (DrWEB: Trojan.PWS.Gamania)